例:事前共有キーを使用した AutoVPN の設定
この例では、VPN ゲートウェイがリモート ピアを認証するために使用する異なる IKE 事前共有キーを設定する方法を示します。同様に、VPN ゲートウェイがリモート ピアを認証するために使用するのと同じ IKE 事前共有キーを設定します。
AutoVPN のエンドツーエンドの設定については、このトピックの他の例を参照してください。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
- AutoVPNをサポートするMX-SPC3およびJunos OS リリース21.1R1を搭載したMX240、MX480、MX960
- または、AutoVPNをサポートするSPC3およびJunos OS リリース21.2R1を搭載したSRX5000シリーズ
- またはvSRX仮想ファイアウォールAutoVPNをサポートするikedプロセス(
junos-ikeパッケージを使用)およびJunos OS リリース21.2R1を実行している
異なるIKE事前共有キーを設定する
VPN ゲートウェイがリモート ピアの認証に使用する別の IKE 事前共有キーを設定するには、以下のタスクを実行します。
- AutoVPNハブを使用するデバイスで、シードされたIKE用事前共有ポリシーを設定します。
[edit] user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ascii-text
又は
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal hexadecimal
例えば:
user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ThisIsMySecretPreSharedkey
又は
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal 5468697349734d79536563726563745072655368617265646b6579
- 生成された PSK( ステップ 2 の「79e4ea39f5c06834a3c4c031e37c6de24d46798a」)をリモートピアデバイスの IKE ポリシーで設定します。
[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text generated-psk
例えば:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text 79e4ea39f5c06834a3c4c031e37c6de24d46798a
- (オプション)IKE ID検証をバイパスし、すべてのIKE IDタイプを許可するには、ゲートウェイ
general-ikeid[edit security ike gateway gateway_name dynamic]階層レベルで設定ステートメントを設定します。[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
結果
設定モードから、 コマンドを入力して設定を show security 確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
seeded-pre-shared-key ascii-text "$9$zoDln9pIEyWLN0BLNdboaFn/C0BRhSeM8"; ##SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity hostname hub.juniper.net;
external-interface lo0.0;
local-address 11.0.0.1;
version v2-only;
}
}
同じIKE事前共有キーを設定する
VPN ゲートウェイがリモート ピアの認証に使用するものと同じ IKE 事前共有キーを設定するには、以下のタスクを実行します。
- AutoVPN ハブを使用するデバイスで、共通の
pre-shared-keyfor ike ポリシーを設定します。[edit] user@host# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
例えば:
user@host# # set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- リモートピアデバイスのIKEポリシーに共通
pre-shared-keyを設定します。[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
例えば:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- (オプション)IKE ID検証をバイパスし、すべてのIKE IDタイプを許可するには、ゲートウェイ
general-ikeid[edit security ike gateway gateway_name dynamic]階層レベルで設定ステートメントを設定します。[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
結果
設定モードから、 コマンドを入力して設定を show security 確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text "$9$wo2oGk.569pDi9p0BSys24"; ## SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity user-at-hostname user1@juniper.net;
external-interface lo0;
local-address 11.0.0.1;
version v2-only;
}
}